专栏名称: TimelineSec

安全圈必备公众号之一！专注于最新漏洞复现！内含漏洞时间线工具靶场等干货！记录每一个漏洞，捕捉安全的每一瞬间！

CVE-2020-0796：微软 SMBv3 协议RCE检测

TimelineSec · 公众号 · · 2020-03-14 09:30

正文

本公众号专注于最新漏洞复现，欢迎关注！

------------------------------------------------------------------------------------

本文作者：shiyi（Timeline Sec复现组成员）

本文共684字，阅读大约需要2~3分钟

声明：请勿做非法用途，否则后果自负

0x01 简介

SMB(全称是Server Message Block)是一个协议名，它能被用于Web连接和客户端与服务器之间的信息沟通。

0x02 漏洞概述

该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的，它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。该漏洞类似于永恒之蓝，存在被蠕虫化利用的可能。

0x03 影响版本

适用于32位系统的Windows 10版本1903
Windows 10 1903版（用于基于x64的系统）
Windows 10 1903版（用于基于ARM64的系统）
Windows Server 1903版（服务器核心安装）
适用于32位系统的Windows 10版本1909
Windows 10版本1909（用于基于x64的系统）
Windows 10 1909版（用于基于ARM64的系统）
Windows Server版本1909（服务器核心安装）

0x04 环境搭建

下载地址：
https://msdn.itellyou.cn/

0x05 漏洞检测

Python脚本：

https://github.com/ollypwn/SMBGhost/blob/master/scanner.py

Nmap检测脚本(nse脚本)

https://github.com/cyberstruggle/DeltaGroup/blob/master/CVE-2020-0796/CVE-2020-0796.nse

Powershell检测脚本

https://github.com/T13nn3s/CVE-2020-0976/blob/master/CVE-2020-0796-Smbv3-checker.ps1

解压之后运行scaner.py 文件

0x06 修复方式

1. 安装补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
2. 禁用SMBv3压缩
3. 禁用powershell命令压缩功能


         Set-ItemProperty
 -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
 DisableCompression -Type DWORD -Value 1 -Force

参考链接：

https://nosec.org/home/detail/4309.html

推荐文章

界面新闻 · 万达商管集团：张霖因个人原因辞去总裁职务

昨天

界面新闻 · 丽江机场回应工作人员撕毁头等舱旅客登机牌

昨天

界面新闻 · 微信视频号：暂未发现张兰相关账号违规

3 天前

界面新闻 · 四川宜宾市筠连县山体滑坡已造成10户民房被掩埋、30余人失联

3 天前

界面新闻 · 何如意彻底告别荣昌生物，并称未来将加入另一家药企

4 天前

旅行雷达 · 旅行中信用卡安全使用ABC！如何规避盗刷？分享有奖！

7 年前

摄影与诗歌 · 33个创意LOGO隐藏的奥秘

7 年前

新财富 · 巴菲特：我为什么不做烂生意（13年前伯克希尔股东大会笔记）

7 年前

中国新闻周刊 · 10车企齐坐大滑梯汽车销量半年报

7 年前

自在睡觉 · 用这三篇《梁注庄子》，看到自己精神角落里，灵魂解脱的可能性

7 年前